Parfois, nous devons agir sur les sites de nos clients pour des interventions en urgence (sécurité), ou tout simplement pour aider à configurer ou mettre à jour telle ou telle partie de leur site.
Le problème se pose souvent de pouvoir accéder à leur compte administrateur de CMS sans leur demander leur mot de passe…
Par exemple pour dotclear 2, nous savons comment modifier temporairement le mot de passe du compte administrateur sans peine :
- assurez-vous d’avoir accès à la base mysql du dotclear (via phpmyadmin ou la ligne de commande mysql) et au serveur via ssh,
- sauvez dans un coin le hash (un truc qui ressemble à 46342011b4d7de918d53a6ae229e7da3894a66c2) du mot de passe actuel du compte concerné, issu de la table dc_user :
select * from dc_user where user_super=1 ;
php<?php include("inc/clearbricks/common/lib.crypt.php"); include("inc/config.php"); echo crypt::hmac(DC_MASTER_KEY,'poipoi')."\n"; ?>; # pour sortir
Là, il vous affiche le hash à mettre en base pour le mot de passe « poipoi » pour votre dotclear à vous.
- modifiez donc en base le mot de passe pour l’utilisateur concerné par le hash que vous a retourné notre script :
update dc_user set user_pwd=’46342011b4d7de918d53a6ae229e7da3894a66c2’ where user_id=’monlogin’ ;
update dc_user set user_pwd=’e229e7da3894a66c246342011b4d7de918d53a6a’ where user_id=’monlogin’ ;